注目キーワード
  1. Wordpress
  2. テーマ
  3. プラグイン
  4. SEO
  5. 集客
NO IMAGE

WordPress 4.8.3でSQLインジェクション脆弱性を修正

ハロウィーンに沸いた昨晩、自動アップデートがオンになっていた方は WordPress 4.8.3 の通知がたくさん飛んで来ていただろう。今回のアップデート$wpdb に関するセキュリティパッチである。

自動アップデートにしていない人は急いで更新を。

脆弱性の詳細

今回は報告者である Anthony Ferrara がパッチ公開後すぐに詳細を “Disclosure: WordPress WPDB SQL Injection – Technical” として公表している。

このSQLインジェクション脆弱性はいまのところコアに影響を与えないようだが、$wpdb->prepare メソッドの不備によって、意図しないインジェクションが発生してしまうようだ。

具体的には、プレースホルダーが順番に置換される vsprintf の性質を利用し、置換結果にプレースホルダーを再度挿入することでSQLiを発生させる。

これだけ書かれると「なんのこっちゃ」かもしれないが、ざっくりまとめると、以下のとおり。

  1. WordPress 4.8.3より前のすべてのバージョンにはSQLインジェクション脆弱性があったから、すぐにアップデートしよう。
  2. WordPressコアはこのSQL脆弱性の影響を受けないけれど、プラグインによっては影響を受けるかもしれない。
  3. 自動アップデートは有効にしよう。

 

投稿 WordPress 4.8.3でSQLインジェクション脆弱性を修正Capital P に最初に表示されました。

#wordpress #ワードプレス #SEO #集客

「Capital P」を閲覧する

NO IMAGE
最新情報をチェックしよう!
>WordPressに関連する情報まとめ

WordPressに関連する情報まとめ

ブログ / ホームページの価値の最大化をさせるCMS、WordPress(ワードプレス)。フリーのブログとは違い、いくらか敷居の高い印象がありますが、一つ一つクリアにしてみるときっとあなたもWordPressのパワーの恩恵に預かれると思います。当サイトを見て、まずはトライしてみましょう!

CTR IMG